CAPITULO I LA GESTIÃN DE REDES
CAPITULO I LA GESTIÃN DE REDES
CAPITULO I LA GESTIÃN DE REDES
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Capítulo I. <strong>LA</strong> GESTION <strong>DE</strong> RE<strong>DE</strong>S.<br />
<strong>CAPITULO</strong> I<br />
<strong>LA</strong> GESTIÓN <strong>DE</strong> RE<strong>DE</strong>S<br />
INTRODUCCIÓN<br />
El capítulo presenta la gestión de redes y las redes de área local Virtuales V<strong>LA</strong>N (Virtual Local<br />
Area Network). Con respecto a la gestión de redes se analizan a detalle las dos grandes<br />
categorías de división: La monitorización y el control. Así también, las principales funciones de la<br />
gestión de red. Con respecto a las V<strong>LA</strong>N’s se incursiona en la definición, configuraciones,<br />
ventajas y desventajas. Este capitulo trasciende en los fundamentos y da la pauta para<br />
encaminarse al desarrollo de de la Herramienta de Gestión de Redes Virtuales.<br />
1.- <strong>LA</strong> GESTIÓN <strong>DE</strong> RE<strong>DE</strong>S.<br />
La gestión de red [1, 4] es el conjunto de tareas de monitorización, configuración, información y<br />
control, necesarias para operar de manera efectiva una red. Estas tareas pueden estar<br />
distribuidas sobre diferentes nodos de la red, lo cual puede requerir repetidas acciones de<br />
recogida de datos y su análisis, cada vez que sucede un nuevo evento en la red.<br />
Las redes son cada vez más importantes en empresas y organizaciones tomando en<br />
consideración:<br />
‣ La Tendencia a redes más grandes, más complejas, más heterogéneas,...<br />
‣ La red y las aplicaciones distribuidas se hacen imprescindibles.<br />
‣ Los costos de gestión de la red aumentan.<br />
‣ La gestión de la red no se puede hacer a mano:<br />
‣ Se requieren herramientas de gestión de red automatizadas.<br />
‣ Herramientas estándar que funcionen sobre equipos de distintos tipos y distintos fabricantes:<br />
Estaciones de usuario, conmutadores, ruteadores, equipos de telecomunicación.<br />
Las funciones de gestión de red se pueden agrupar en dos grandes categorías [1, 3, 4]:<br />
‣ Monitorización: Funciones de “lectura”.<br />
‣ Observar y analizar el estado y comportamiento de la<br />
‣ configuración de red y sus componentes.<br />
‣ Abarca: prestaciones, fallos y costes.<br />
‣ Control: Funciones de “escritura”.<br />
‣ Alterar parámetros de los componentes de la red<br />
‣ Abarca: configuración y seguridad.<br />
Todas las áreas funcionales abarcan monitorización y control, y cumplen tres objetivos<br />
fundamentales:<br />
‣ Identificación de la información: identificar la información a monitorizar.<br />
‣ Diseño de mecanismos de monitorización: como obtener esa información.<br />
‣ Utilización de la información: para qué utilizar la información obtenida dentro de las<br />
distintas áreas funcionales de gestión de red.<br />
17
Capítulo I. <strong>LA</strong> GESTION <strong>DE</strong> RE<strong>DE</strong>S.<br />
La información a monitorizar puede encontrase en una de las siguientes categorías:<br />
1.- Estática: Caracteriza la configuración actual de la red y de sus elementos (p.e. El número de<br />
puertos de un router). Esta información cambiará con muy poca frecuencia.<br />
2.- Dinámica: Información relacionada con eventos en la red (p.e. La transmisión de un paquete<br />
por la red)<br />
3.- Estadística: Información que puede ser derivada de la información dinámica (p.e. El número<br />
medio de paquetes transmitidos por unidad de tiempo por un sistema final).<br />
La información Estática: Es generada y almacenada por el propio elemento de red (p.e. un<br />
ruteador almacena su propia configuración).<br />
La información Dinámica: Puede almacenarla el propio elemento, u otro encargado de ello (p.e.<br />
En una <strong>LA</strong>N cada elemento puede almacenar el número total de paquetes que envía, o un<br />
elemento de la <strong>LA</strong>N puede estar escuchando y recoger esa información (se denomina Monitor<br />
remoto). Un monitor remoto no puede recoger cierta información propia de un elemento (p.e. El<br />
número de sesiones abiertas).<br />
La información Estadística: Puede ser generada por cualquier elemento que tenga acceso a la<br />
información dinámica en base a dos opciones básicas:<br />
‣ Puede enviarse toda la información dinámica al gestor de red para que realice las<br />
estadísticas.<br />
‣ Si el gestor no necesita toda la información, ésta puede ser resumida por el propio<br />
elemento antes de enviarla al gestor, ahorrando procesamiento en el gestor y generando<br />
menos tráfico en la red.<br />
1.1. AREAS <strong>DE</strong> <strong>LA</strong> GESTIÓN <strong>DE</strong> RE<strong>DE</strong>S.<br />
La gestión de redes incursiona en distintos campos cada uno con sus propias peculiaridades,<br />
estos campos son [1,4]:<br />
‣ Gestión de fallos<br />
‣ Gestión de contabilidad<br />
‣ Gestión de la configuración<br />
‣ Gestión de prestaciones<br />
‣ Gestión de seguridad<br />
1.1.1.- GESTIÓN <strong>DE</strong> FALLOS<br />
La gestión de fallos tiene una gran componente “manual”. Una vez localizado el fallo, los<br />
procedimientos para solucionarlo suelen realizarse por el administrador (desplazarse hasta el<br />
lugar donde está el equipo, sustituir todo o parte, etc.)<br />
La gestión de fallos tiene que ver con situaciones referentes a:<br />
‣ Detección, aislamiento y corrección de fallos<br />
‣ Cuando ocurre un fallo, tan pronto como sea posible:<br />
‣ Determinar exactamente dónde está el fallo.<br />
‣ Aislar el resto de la red, para que pueda seguir operando sin interferencia.<br />
‣ Reconfigurar la red para minimizar el impacto de operar sin el componente averiado.<br />
‣ Reparar o reemplazar el componente averiado para devolver la red al estado inicial<br />
18
Capítulo I. <strong>LA</strong> GESTION <strong>DE</strong> RE<strong>DE</strong>S.<br />
‣ Distinción entre fallo y error:<br />
‣ Error: Un solo evento (ejemplo, se pierde un paquete)<br />
‣ Fallo: Un funcionamiento anormal que requiere una intervención para ser subsanada<br />
‣ El fallo se manifiesta por un funcionamiento incorrecto (se corta la línea física) o por<br />
exceso de errores (en una línea se pierden muchos paquetes)<br />
En un entorno complejo puede ser difícil diagnosticar los fallos. Principalmente debido a:<br />
1.- Múltiples causas potenciales: Cuando hay múltiples tecnologías, los posibles puntos de fallo<br />
y tipos de fallo aumenta (p.e. En la siguiente figura si falla o tiene muchos errores la comunicación<br />
entre el cliente y el servidor puede ser debido a muchas causas).<br />
2.- Demasiadas observaciones relacionadas: Un solo fallo puede afectar a muchos elementos,<br />
generando mucha información de fallos que obscurecerá la causa real (p.e. En la figura 1.1 el<br />
fallo de la línea de 2 Mb. Afectará a todas las comunicaciones entre los equipos Token-ring y<br />
Ethernet, así como a las comunicaciones telefónicas, o un fallo en un nivel de las comunicaciones<br />
puede causar degradación o fallos en todos los niveles superiores: un fallo en la línea será<br />
detectado como un fallo de enlace por el router y de transporte y aplicación en los equipos).<br />
Figura 1.1.- Gestión de Fallos en una red.<br />
‣ Interferencia entre procedimientos de diagnóstico y de recuperación local:<br />
Procedimientos de recuperación local pueden destruir evidencias importantes de la naturaleza<br />
del fallo, no permitiendo el diagnóstico.<br />
‣ Ausencia de herramientas de prueba automáticas: Las pruebas para aislar fallos son<br />
difíciles y costosas para el administrador.<br />
19
Capítulo I. <strong>LA</strong> GESTION <strong>DE</strong> RE<strong>DE</strong>S.<br />
1.1.2.- GESTIÓN <strong>DE</strong> CONTABILIDAD<br />
Consiste en recoger información sobre el uso de los recursos por los usuarios. La información<br />
que se recoge depende mucho de las necesidades de la corporación:<br />
‣ En una red interna puede ser bastante general para saber cuanto usan un recurso cada uno<br />
de los departamentos, y por tanto que porcentaje del costo que les corresponde.<br />
‣ En otros casos (p.e. Sistemas que ofrecen servicios públicos) el uso debe detallarse por<br />
cuenta, proyecto, o individualmente con el objeto de cobrar por el uso de los recursos. En<br />
este caso la información debe ser más detallada y exacta que en el ejemplo anterior.<br />
Los recursos que son objeto de gestión de costos suelen ser:<br />
‣ Recursos de comunicación: <strong>LA</strong>Ns, WANs, líneas alquiladas, líneas conmutadas<br />
alquiladas, conmutadores PBXs, etc.<br />
Hardware de computación: Servidores, estaciones de trabajo,...<br />
Sistemas y software: Utilidades software y aplicaciones en servidores, un centro de proceso<br />
de datos.<br />
Servicios: Todos los servicios de información y servicios de comunicaciones comerciales<br />
disponibles.<br />
La información recogida y almacenada depende de las necesidades de la organización. Ejemplos<br />
típicos de información por usuario puede ser:<br />
‣ Identificación de usuario: proporcionada por el generador de una transacción o petición<br />
de servicio.<br />
‣ Receptor: identifica el recurso de red utilizado.<br />
‣ Número de paquetes: cantidad de datos transmitidos.<br />
‣ Nivel de seguridad: Identificación de las prioridades de la transmisión y el<br />
procesamiento.<br />
‣ Sellos temporales: asociados con cada evento de transmisión o procesamiento (p.e.<br />
Comienzo y final de una transacción).<br />
‣ Códigos de estado de la red: Indican la naturaleza de errores o mala utilización<br />
detectados.<br />
‣ Recursos utilizados: Recursos involucrados en una transacción o evento de servicio.<br />
1.1.3.- GESTIÓN <strong>DE</strong> CONFIGURACIÓN.<br />
Se ocupa de la inicialización, mantenimiento y apagado de componentes individuales y<br />
subsistemas lógicos de la red. Los componentes son tanto recursos físicos (servidores,<br />
ruteadores, etc.) como objetos lógicos de bajo nivel (p.e. Un temporizador de retransmisión de un<br />
protocolo de transporte).<br />
La gestión de configuración puede indicar el proceso de inicialización identificando y<br />
especificando las características del los componentes y recursos que constituyen “la red”.<br />
También se especifican valores iniciales o por defecto para los diferentes atributos, de forma que<br />
los recursos gestionados comiencen a operar en los estados deseados, tengan los valores de<br />
atributos deseados y las relaciones adecuadas con otros componentes de la red.<br />
Durante el funcionamiento de la red, la gestión de configuración es responsable de realizar<br />
cambios en respuesta a comandos del usuario o en respuesta a otras funciones de gestión de red<br />
(p.e., si una función de gestión de prestaciones detecta que el tiempo de respuesta se está<br />
degradando dado a un mal balance de carga, la gestión de configuración puede hacer ajustes<br />
para conseguir el nivel de carga adecuado, o si la gestión de fallos detecta y aísla un fallo, la<br />
20
Capítulo I. <strong>LA</strong> GESTION <strong>DE</strong> RE<strong>DE</strong>S.<br />
gestión de configuración puede alterar la configuración para recuperar el tráfico por un camino<br />
alternativo).<br />
Las funciones asociadas a la configuración se relacionan a:<br />
Definición de la información de configuración.<br />
Establecimiento y modificación de valores de atributos.<br />
Establecimiento y modificación de relaciones.<br />
Operaciones de inicialización y apagado de la red.<br />
‣ Distribución de software.<br />
Examen de valores y relaciones.<br />
Informes sobre el estado de la configuración.<br />
Las dos últimas son funciones de monitorización. Normalmente se examinan mediante sondeo y<br />
los cambios se notifican mediante informe de eventos.<br />
1.1.3.1.- <strong>DE</strong>FINICIÓN <strong>DE</strong> <strong>LA</strong> INFORMACIÓN <strong>DE</strong><br />
CONFIGURACIÓN.<br />
La información de configuración describe la naturaleza y estado de los recursos que forman la red<br />
(tanto físicos como lógicos). Esta información incluye una especificación del recurso y de los<br />
atributos de ese recurso (p.e., nombre, dirección, número de identificación, estados,<br />
características operacionales, versión del software). Esta información (en realidad, toda la<br />
información de gestión) se puede estructurar de diversas formas:<br />
‣ Una sencilla lista estructurada de campos de datos: cada uno almacenando un valor<br />
simple. Un ejemplo es SNMP.<br />
‣ Una base de datos orientada a objetos: cada elemento de la red es representado por<br />
uno o varios objetos. Cada objeto contiene los atributos cuyos valores reflejan las<br />
características del elemento. Un objeto puede tener comportamientos asociados, tales<br />
como notificaciones ante la ocurrencia de ciertos eventos. También se puede definir<br />
herencia de atributos. Un ejemplo es el modelo OSI.<br />
‣ Una base de datos relacional: cada entrada en la base de datos contiene valores que<br />
reflejan las características de un elemento de la red. La estructura de la base de datos<br />
refleja las relaciones entre los elementos de la red. Un ejemplo es Sun Net Manager<br />
(utiliza Sybase).<br />
Aunque la información es accesible por el gestor, normalmente se almacena próxima al recurso<br />
en cuestión (en su agente o en un agente proxy si el recurso no soporta directamente un<br />
agente). Esta función de control de red debe permitir al administrador:<br />
‣ Especificar el rango y el tipo de valores que puede tomar un determinado atributo de un<br />
agente.<br />
‣ El rango puede ser una lista de todos los valores posibles o los valores superior e inferior<br />
permitidos.<br />
‣ Definir nuevos tipos de objetos o tipos de datos, dependiendo del tipo de la base de<br />
datos. Lo ideal sería poder definir estos objetos on-line, en línea, y que se crearan en los<br />
correspondientes agentes y proxies. Sin embargo, en todos los sistemas existentes hoy<br />
en día esta función se realiza off-line, fuera de línea, como parte del proceso de<br />
configuración del elemento de la red, en vez ser posible hacerlo dinámicamente.<br />
21
Capítulo I. <strong>LA</strong> GESTION <strong>DE</strong> RE<strong>DE</strong>S.<br />
1.1.3.2.- ESTABLECIMIENTO Y MODIFICACIÓN <strong>DE</strong> VALORES.<br />
Esta función debe permitir al gestor establecer y modificar de manera remota atributos de los<br />
agentes y proxies, con dos limitaciones:<br />
‣ Un administrador debe ser autorizado a realizar la modificación de un atributo en<br />
particular en un agente concreto en un momento concreto (esta es una función de gestión<br />
de seguridad).<br />
‣ Algunos atributos reflejan la “realidad” de un recurso y no tiene sentido que se pueda<br />
modificar (p.e., el número de puertos de un ruteador).<br />
La modificación de un atributo, obviamente, modifica la información de configuración de un<br />
agente. Estas modificaciones, en general, se pueden clasificar en tres categorías:<br />
1.- Actualización de la base de datos: Se cambia un valor en la base de datos del agente sin<br />
que este cambio afecte en nada más a dicho agente (p.e., cambio de la información de contacto:<br />
nombre y dirección de la persona responsable de ese recurso). El agente responde a un<br />
comando de este tipo actualizando la base de datos y enviando una confirmación al gestor.<br />
2.- Actualización de la base de datos que implica modificación del recurso: Además de<br />
cambiar un valor en la base de datos del agente la modificación tiene un efecto sobre el recurso<br />
(p.e., si el atributo de estado de un puerto físico se modifica a disabled, el agente además de<br />
modificar la base de datos, deshabilita el puerto, de tal forma que éste no seguirá activo).<br />
3.- Actualización de la base de datos que implica una acción: En algunos sistemas de gestión<br />
el gestor no dispone de “comandos de acción” directos. En vez de estos comandos, disponen de<br />
determinados atributos en la base de datos de los agentes que cuando se establecen, hacen que<br />
el agente inicie cierta acción (p.e., un ruteador, puede tener un parámetro de reinicialización en<br />
su base de datos. Cuando un gestor autorizado pone a TRUE ese parámetro el equipo se<br />
reinicializará y pondrá el valor a FALSE).<br />
1.1.3.3.- ESTABLECIMIENTO Y MODIFICACIÓN <strong>DE</strong> RE<strong>LA</strong>CIONES.<br />
Una relación describe una asociación, conexión o condición que existe entre recurso o<br />
componentes de la red: topologías, jerarquías, conexiones físicas o lógicas, dominios de gestión<br />
(conjunto de recursos que comparten un conjunto común de atributos o un conjunto de recursos<br />
que comparten la misma autoridad de gestión). La gestión de configuración debe permitir la<br />
modificación, adicción o eliminación de relaciones on-line sin deshabilitar toda o parte de la red.<br />
Ejemplos de este tipo de operaciones pueden ser el permitir al administrador “cortar” una<br />
conexión entre dos nodos, o designar una dirección alternativa o de backup para utilizar en caso<br />
de que el destino primario de una petición de conexión no responda.<br />
1.1.3.4.- INICIALIZACIÓN Y APAGADO <strong>DE</strong> <strong>LA</strong> RED.<br />
La gestión de configuración debe incluir mecanismos que permitan al administrador inicializar o<br />
apagar la red o una subred. La inicialización incluye verificar que todos los atributos y relaciones<br />
se han establecido adecuadamente, notificar al administrador que algún recurso, atributo o<br />
relación necesita ser establecido y validar los comandos de inicialización del administrador. El<br />
apagado de la red, requiere disponer de mecanismos para solicitar determinadas estadísticas o<br />
información de estado antes de que finalice la operación de apagado.<br />
22
Capítulo I. <strong>LA</strong> GESTION <strong>DE</strong> RE<strong>DE</strong>S.<br />
1.1.3.5.- DISTRIBUCIÓN <strong>DE</strong> SOFTWARE.<br />
La gestión de configuración debe permitir distribuir software a los sistemas finales (servidores,<br />
terminales,...) y sistemas intermedios (puentes, ruteadores,...). Para ello se debe disponer de<br />
facilidades que permitan: solicitudes de carga de software, transmisión de las versiones de<br />
software especificadas y actualización de la configuración de los sistemas.<br />
Además de ejecutables, también se pueden distribuir tablas y otros datos que controlen el<br />
comportamiento de un nodo (p.e., tablas de encaminamiento que requieran intervención del<br />
administrador por motivos de costos, prestaciones o seguridad y que por tanto no puede<br />
calcularlas directamente el propio nodo mediante un algoritmo matemático). Se necesita un<br />
mecanismo de control de versiones de software que permita cargar diferentes versiones de<br />
software o tablas de encaminamiento en base a determinadas condiciones, tal como tasas de<br />
error.<br />
1.1.4.- GESTIÓN <strong>DE</strong> SEGURIDAD.<br />
La introducción de los ordenadores en las organizaciones, supuso la necesidad de preservar la<br />
seguridad de la información en dos aspectos:<br />
‣ La utilización de sistemas de tiempo compartido obligó a buscar mecanismos de<br />
protección de información dentro del sistema (computer security).<br />
‣ La utilización de redes de ordenadores obligó a buscar mecanismos de protección de<br />
información en su transmisión (network security). Esto es especialmente importante<br />
si los datos atraviesan o están disponibles a través de redes publicas.<br />
La gestión de seguridad en redes se ocupa de estas dos áreas incluyendo, obviamente, la<br />
seguridad del propio sistema de gestión de red:<br />
‣ Privacidad: La información debe estar accesible para lectura sólo a personas<br />
autorizadas. Los accesos incluyen: leer, visualizar, imprimir, o incluso revelar la<br />
propia existencia del objeto.<br />
‣ Integridad: Los recursos deben ser modificables sólo por usuarios autorizados. Las<br />
modificaciones incluyen: escribir, cambiar, cambiar estado, eliminar y crear.<br />
‣ Disponibilidad: Los recursos deben estar disponibles a los usuarios autorizados.<br />
Las funciones de gestión de seguridad son:<br />
‣ Mantenimiento de la información de seguridad.<br />
‣ Control de acceso a los recursos.<br />
‣ Control del proceso de cifrado.<br />
1.1.4.1.- MANTENIMIENTO <strong>DE</strong> <strong>LA</strong> INFORMACIÓN <strong>DE</strong><br />
SEGURIDAD.<br />
La gestión de seguridad debe seguir la actividad, o intentos de actividad, sobre estos objetos para<br />
detectar y resolver intentos de ataques, o ataques conseguidos. Esto incluye las siguientes<br />
funciones:<br />
‣ Log de eventos.<br />
‣ Monitorización de registros de seguridad.<br />
‣ Monitorización de utilización y usuarios de recursos de seguridad.<br />
‣ Avisos de violaciones de seguridad.<br />
23
Capítulo I. <strong>LA</strong> GESTION <strong>DE</strong> RE<strong>DE</strong>S.<br />
‣ Recepción de avisos de violaciones de seguridad.<br />
‣ Mantener y examinar logs de seguridad.<br />
‣ Mantener backups, respaldos, de los datos referentes a seguridad<br />
‣ Mantener perfiles de usuarios y utilizaciones para recursos específicos para<br />
permitir la verificación del cumplimiento de las políticas de seguridad definidas.<br />
Los objetos que intervienen: claves, información de autentificación, derechos de acceso y<br />
parámetros operacionales de los mecanismos y servicios de seguridad.<br />
1.1.4.2.- CONTROL <strong>DE</strong> ACCESO A LOS RECURSOS.<br />
Consiste en la autentificación y autorización de accesos a recursos. Para ello se mantienen<br />
perfiles de usuarios y perfiles de utilización para recursos específicos y se establecen prioridades<br />
de acceso.<br />
1.1.4.3.- CONTROL <strong>DE</strong>L PROCESO <strong>DE</strong> CIFRADO.<br />
Cifrado del intercambio de información entre agentes y gestores cuando sea necesario. Incluye la<br />
elección de algoritmos de cifrado y mecanismos de distribución de claves.<br />
1.1.5.- GESTIÓN <strong>DE</strong> PRESTACIONES.<br />
La gestión de prestaciones tiene dos partes: monitorización y control. Monitorizar consiste en<br />
observar y analizar la actividad de la red. Controlar es realizar ajustes para mejorar las<br />
prestaciones.<br />
Algunas cuestiones que atañen al gestor de la red son:<br />
‣ ¿Cuál es la utilización de la red<br />
‣ ¿Hay un tráfico excesivo<br />
‣ ¿Se ha reducido la productividad a niveles inaceptables<br />
‣ ¿Existen cuellos de botella<br />
‣ ¿Está aumentando el tiempo de respuesta<br />
Para ello hay que monitorizar algunos recursos de la red: Recoger información, analizarla y usar<br />
los resultados del análisis para ajustar los parámetros de la red<br />
Se deben de elegir los indicadores adecuados para monitorizar adecuadamente las prestaciones<br />
de la red.<br />
Los indicadores se pueden dividir en dos categorías:<br />
‣ Medidas orientadas a servicios: Medidas que permiten mantener los niveles de<br />
determinados servicios a satisfacción de los usuarios. Son los más importantes:<br />
‣ Disponibilidad.<br />
‣ Tiempo de respuesta.<br />
‣ Fiabilidad.<br />
‣ Medidas orientadas a eficiencia: Medidas que permiten mantener los niveles de<br />
satisfacción anteriores al mínimo coste posible.<br />
‣ Prestaciones (througtput).<br />
‣ Utilización.<br />
24
Capítulo I. <strong>LA</strong> GESTION <strong>DE</strong> RE<strong>DE</strong>S.<br />
1.1.5.1.- MEDIDAS ORIENTADAS A SERVICIOS.<br />
‣ Disponibilidad: Porcentaje de tiempo que una red, un dispositivo o una aplicación<br />
está disponible para el usuario.<br />
‣ Tiempo de respuesta: Cuanto tarda en aparecer la respuesta en el terminal del<br />
usuario cuando éste realiza una acción.<br />
‣ Fiabilidad: Porcentaje de tiempo en el que no ocurren errores en la transmisión y<br />
entrega de información.<br />
1.1.5.2.- MEDIDAS ORIENTADAS A EFICIENCIA.<br />
‣ Prestaciones (througtput): La tasa a la que ocurren eventos a nivel de aplicación<br />
(p.e. Transacciones, mensajes, transferencia de archivos).<br />
‣ Utilización: Porcentaje de la capacidad teórica de un recurso (p.e. Un concentrador,<br />
una línea de transmisión, un conmutador) que se está utilizando.<br />
1.2.- ARQUITECTURA FUNCIONAL <strong>DE</strong> MONITORIZACIÓN.<br />
Los cuatro elementos principales que intervienen en la monitorización son:<br />
1. Aplicación de monitorización: gestiona las funciones de monitorización que son visibles al<br />
usuario, tal como gestión de prestaciones, fallos y costos.<br />
2. Gestor: El módulo de la red que recoge la información del resto de los elementos de la red.<br />
3. Agente: Recoge y almacena información de uno o varios elementos de la red y los envía al<br />
gestor.<br />
4. Objetos gestionados: información de gestión que representa recursos y su actividad.<br />
5. Agente de monitorización: módulo que genera sumarios y análisis estadísticos de la<br />
información de gestión. Si este módulo es remoto al gestor, actúa como un agente y comunica la<br />
información estadística que genera a dicho gestor (véase figura 1.2 y 1.3).<br />
25
Capítulo I. <strong>LA</strong> GESTION <strong>DE</strong> RE<strong>DE</strong>S.<br />
Figura 1.2.- Arquitectura Funcional de Monitorización.<br />
Figura 1.3.- Arquitectura Funcional de Monitorización (cont.).<br />
26
Capítulo I. <strong>LA</strong> GESTION <strong>DE</strong> RE<strong>DE</strong>S.<br />
Los módulos funcionales anteriores pueden dar lugar a diversas configuraciones:<br />
(a) La estación que ejecuta la aplicación de monitorización es también un elemento de la<br />
red, y debe gestionarse. Por ello normalmente incluye un Agente y unos Objetos<br />
gestionados (véase figura 1.4).<br />
Figura 1.4.- Estación como elemento de red.<br />
(b) Configuración normal de monitorización de otros elementos de red. El gestor y los<br />
agentes deben compartir el mismo protocolo de gestión y sintaxis y semántica de la MIB<br />
(véase figura 1.5).<br />
Figura 1.5.- Configuración de otros elementos de la red.<br />
27
Capítulo I. <strong>LA</strong> GESTION <strong>DE</strong> RE<strong>DE</strong>S.<br />
(c) Configuración con agentes que monitorizan el tráfico de una red, monitores remotos o<br />
monitores externos (véase figura 1.6).<br />
Figura 1.6.- Monitores remotos.<br />
(d) Cuando existen elementos que no utilizan el mismo protocolo de gestión que el gestor, se<br />
utilizan proxies (véase figura 1.7).<br />
Figura 1.7.- Proxies.<br />
28
Capítulo I. <strong>LA</strong> GESTION <strong>DE</strong> RE<strong>DE</strong>S.<br />
1.2.1.- FORMAS <strong>DE</strong> COMUNICACIÓN <strong>DE</strong> INFORMACIÓN <strong>DE</strong><br />
MONITORIZACIÓN.<br />
La información de monitorización es recopilada y almacenada por los agentes y enviada a uno o<br />
más gestores. Para el envío de dicha información se usan dos técnicas:<br />
‣ Sondeo (polling): El gestor solicita información al agente, que responderá a la<br />
petición.<br />
‣ Informe de eventos (event reporting): La iniciativa de la comunicación es tomada<br />
por el agente, teniendo que estar por tanto el gestor a la espera de información de<br />
este tipo.<br />
Se suelen usar conjuntamente en la monitorización de una red. El énfasis en el uso de uno u otro<br />
dependerá de la propia naturaleza de la red y de los protocolos de gestión utilizados.<br />
1.2.1.1.- SON<strong>DE</strong>O.<br />
Interacción petición/respuesta iniciada por el gestor. El gestor puede pedir información sobre:<br />
El valor de uno o varios elementos de información. El agente devolverá valores almacenados<br />
en su MIB local. Este tipo de petición puede ser dos tipos:<br />
Específica: Pidiendo el valor de una o varias variables concretas.<br />
Genérica o de búsqueda: Solicitando información que cumpla ciertos criterios de<br />
búsqueda.<br />
Información sobre la estructura de la MIB del agente. Se utiliza para:<br />
Mantener actualizada la información que el gestor tiene de los elementos la red. Para ello se<br />
hace un sondeo periódico.<br />
Conocer la configuración de la red (y sus elementos) que está gestionando<br />
Investigar un área en detalle ante un problema.<br />
Soporte a usuarios: generar informes solicitados por los usuarios o respondes sus preguntas.<br />
1.2.1.2.- INFORME <strong>DE</strong> EVENTOS.<br />
El agente toma la iniciativa de enviar información al gestor. Se utiliza para:<br />
‣ Comunicar la ocurrencia de eventos relevantes (p.e. Un cambio de estado) o<br />
inusuales (p.e. Un fallo).<br />
‣ Generar un informe periódico al gestor del estado actual de los elementos<br />
gestionados por el agente.<br />
Este sistema de comunicación es útil, sobre todo, para:<br />
‣ Detectar problemas tan pronto como se producen.<br />
‣ Monitorizar objetos que cambian con poca frecuencia de estado (en este caso es más<br />
eficiente que el sondeo).<br />
29
Capítulo I. <strong>LA</strong> GESTION <strong>DE</strong> RE<strong>DE</strong>S.<br />
1.3.- ARQUITECTURA FUNCIONAL <strong>DE</strong> CONTROL.<br />
Los cuatro elementos principales que intervienen en el control son:<br />
1. Aplicación de control: gestiona las funciones de control que son visibles al usuario, tal como<br />
gestión de configuración y seguridad.<br />
2. Gestor: El módulo de la envía peticiones de operación al resto de los elementos de la red.<br />
3. Agente: Recibe los comandos de control y actúa convenientemente sobre los elementos de la<br />
red que depende de él.<br />
4. Objetos gestionados: información de gestión que representa recursos y su actividad.<br />
De la información de gestión. Si este módulo es remoto al gestor, actúa como un agente y<br />
comunica la información estadística que genera a dicho gestor (véase figura 1.8).<br />
Figura 1.8.- Modelo Agente-Gestor.<br />
Los módulos funcionales anteriores pueden dar lugar a diversas configuraciones:<br />
30
Capítulo I. <strong>LA</strong> GESTION <strong>DE</strong> RE<strong>DE</strong>S.<br />
(a) La estación que ejecuta la aplicación de control es también un elemento de la red, y debe<br />
gestionarse. Por ello normalmente incluye un Agente y unos Objetos gestionados véase figura<br />
1.9).<br />
Figura 1.9.- Agente-Modelos Gestionados.<br />
(b) Configuración normal de control de otros elementos de red. El gestor y los agentes deben<br />
compartir el mismo protocolo de gestión y sintaxis y semántica de la MIB.<br />
Figura 1.10.- Agente en red.<br />
31
Capítulo I. <strong>LA</strong> GESTION <strong>DE</strong> RE<strong>DE</strong>S.<br />
(c) Cuando existen elementos que no utilizan el mismo protocolo de gestión que el gestor, se<br />
utilizan proxies (véase figura 1.11).<br />
Figura 1.11.- Agente Proxy.<br />
1.4.- FORMAS <strong>DE</strong> COMUNICACIÓN <strong>DE</strong> INFORMACIÓN <strong>DE</strong><br />
CONTROL.<br />
El gestor comienza siempre la comunicación enviando comandos a los agentes. En función del<br />
tipo de comando, puede haber una respuesta del agente o no. Los comandos son generados por<br />
diversos motivos (véase figura 1.12):<br />
‣ Iniciativa del administrador de la red.<br />
‣ Comandos preprogramados:<br />
‣ Periódicos.<br />
‣ Respuesta a eventos o sucesos.<br />
32
Capítulo I. <strong>LA</strong> GESTION <strong>DE</strong> RE<strong>DE</strong>S.<br />
Figura 1.12.- Formas de Comunicación del control.<br />
1.5.- <strong>LA</strong>S V<strong>LA</strong>N (VIRTUAL LOCAL AREA NETWORK).<br />
Una V<strong>LA</strong>N es una agrupación lógica de dispositivos o usuarios que se pueden agrupar por<br />
función, departamento o aplicación, sin importar la ubicación física del segmento. La<br />
configuración de la V<strong>LA</strong>N se realiza en el conmutador a través del software (véase figura 1.13).<br />
Las V<strong>LA</strong>N no están estandarizadas y requieren el uso de software propietario del fabricante<br />
del conmutador.<br />
1.5.1.- CONFIGURACIONES <strong>LA</strong>N COMPARTIDAS EXISTENTES.<br />
Una <strong>LA</strong>N típica se configura según la infraestructura física que conecta. Los usuarios se agrupan<br />
según su ubicación en relación con el concentrador al que están conectados y según cómo el<br />
cable se tiende al centro del cableado. El router que interconecta cada concentrador compartido<br />
normalmente proporciona segmentación y puede actuar como corta fuegos de difusión (firewall<br />
broadcast). Los segmentos creados por los conmutadores no lo hacen. La segmentación<br />
tradicional de las <strong>LA</strong>N no agrupa a los usuarios según su asociación de grupo de trabajo o<br />
necesidad de ancho de banda. Por lo tanto, comparten el mismo segmento y ocupan el mismo<br />
ancho de banda, aunque los requisitos de ancho de banda varían enormemente por grupo de<br />
trabajo o departamento [1, 2, 3,23, 29].<br />
33
Capítulo I. <strong>LA</strong> GESTION <strong>DE</strong> RE<strong>DE</strong>S.<br />
Figura 1.13.- Las V<strong>LA</strong>N y los límites físicos<br />
1.5.2.- SEGMENTACIÓN CON ARQUITECTURAS <strong>DE</strong><br />
CONMUTACIÓN<br />
Las <strong>LA</strong>N se dividen cada vez con mayor frecuencia en grupos de trabajo conectados mediante la<br />
espina dorsal (backbone) común para formar topologías V<strong>LA</strong>N. Las V<strong>LA</strong>N segmentan<br />
lógicamente la infraestructura física de las <strong>LA</strong>N en diferentes subredes o dominios de difusión<br />
(broadcast) para Ethernet. Las tramas de difusión (broadcast) se conmutan sólo entre puertos<br />
dentro de la misma V<strong>LA</strong>N [4, 23,29].<br />
Las primeras implementaciones de V<strong>LA</strong>N ofrecían una función de asignación de puertos que<br />
establecía un dominio de difusión (broadcast) entre un grupo de dispositivos por defecto. Los<br />
requisitos actuales de la red exigen la funcionalidad de V<strong>LA</strong>N que cubre toda la red. Este enfoque<br />
de las V<strong>LA</strong>N permite agrupar usuarios separados por grandes distancias físicas en topologías<br />
virtuales que abarcan toda la red. Las configuraciones V<strong>LA</strong>N agrupan a los usuarios por<br />
asociación lógica, en lugar de por ubicación física.<br />
La mayoría de las redes actualmente instaladas ofrecen una segmentación lógica muy limitada.<br />
Los usuarios se agrupan normalmente según las conexiones al concentrador compartido y los<br />
puertos de router entre los concentradores. Esta topología brinda segmentación sólo entre los,<br />
que normalmente se ubican en pisos separados, y no entre usuarios conectados al mismo<br />
concentrador. Esto impone restricciones físicas en la red y limita la manera en que los usuarios se<br />
pueden agrupar. Algunas arquitecturas de concentrador compartido tienen cierta capacidad de<br />
agrupación, pero limitan la forma en que se pueden configurar los grupos de trabajo definidos<br />
lógicamente [4, 23, 29].<br />
34
Capítulo I. <strong>LA</strong> GESTION <strong>DE</strong> RE<strong>DE</strong>S.<br />
1.5.3.- DIFERENCIAS ENTRE <strong>LA</strong>S <strong>LA</strong>N CONMUTADAS<br />
TRADICIONALES Y <strong>LA</strong>S V<strong>LA</strong>N<br />
En una <strong>LA</strong>N que utiliza dispositivos de conmutación <strong>LA</strong>N, la tecnología V<strong>LA</strong>N es una manera<br />
económica y eficiente de agrupar usuarios de la red en grupos de trabajo virtuales, más allá de su<br />
ubicación física en la red. Algunas de las diferencias principales son las siguientes [3, 4, 23, 29,<br />
30]:<br />
‣ Las V<strong>LA</strong>N funcionan a nivel de Capa 2 y Capa 3 del modelo de referencia OSI.<br />
‣ La comunicación entre las V<strong>LA</strong>N es implementada por el enrutamiento de Capa 3.<br />
‣ Las V<strong>LA</strong>N proporcionan un método para controlar la difusión (broadcast) de red.<br />
‣ El administrador de la red asigna usuarios a una V<strong>LA</strong>N.<br />
‣ Las V<strong>LA</strong>N pueden aumentar la seguridad de la red, definiendo cuáles son los nodos<br />
de red que se pueden comunicar entre sí.<br />
Mediante la tecnología V<strong>LA</strong>N, se pueden agrupar los puertos de conmutador y sus usuarios<br />
conectados en grupos de trabajo lógicamente definidos, como los siguientes:<br />
‣ Compañeros de trabajo en el mismo departamento<br />
‣ Un equipo de producción interfuncional<br />
‣ Diferentes grupos de usuarios que comparten la misma aplicación de red o software<br />
Se pueden agrupar estos puertos y usuarios en grupos de trabajo con un solo conmutador o<br />
conmutador conectados. Al agrupar los puertos y los usuarios a través de múltiples conmutador,<br />
las V<strong>LA</strong>N pueden abarcar infraestructuras contenidas en un solo edificio, edificios conectados<br />
entre sí o aun redes de área amplia (WAN).<br />
1.5.4.- TRANSPORTE <strong>DE</strong> <strong>LA</strong>S V<strong>LA</strong>N A TRAVÉS <strong>DE</strong> <strong>LA</strong>S ESPINAS<br />
DORSALES (BACKBONE)<br />
Lo que es importante en cualquier arquitectura de V<strong>LA</strong>N es la capacidad para transportar<br />
información de la V<strong>LA</strong>N entre conmutador interconectados y los ruteador que residen en la espina<br />
dorsal (backbone) corporativa. Estas capacidades de transporte [1, 2, 3]:<br />
‣ Eliminan las fronteras físicas entre los usuarios<br />
‣ Aumentan la flexibilidad de la configuración de una solución de V<strong>LA</strong>N cuando los<br />
usuarios se desplazan<br />
‣ Proporcionan mecanismos de interoperabilidad entre los componentes del sistema de<br />
espina dorsal (backbone).<br />
La espina dorsal (backbone) normalmente funciona como el punto de reunión de grandes<br />
volúmenes de tráfico. También transporta información del usuario final de la V<strong>LA</strong>N y su<br />
identificación entre conmutador, ruteador y servidores directamente conectados. Dentro de la<br />
espina dorsal (backbone), los enlaces de alto ancho de banda y alta capacidad se seleccionan<br />
normalmente para transportar el tráfico en toda la empresa.<br />
Los conmutadores y ruteadores son los componentes principales de las comunicaciones de<br />
V<strong>LA</strong>N (véase figura 1.14). Cada conmutador tiene la inteligencia de tomar decisiones de filtrado y<br />
envío por trama, basándose en las métricas de V<strong>LA</strong>N definidas por los administradores de red. El<br />
conmutador también puede comunicar esta información a otros conmutadores y ruteadores dentro<br />
de la red.<br />
35
Capítulo I. <strong>LA</strong> GESTION <strong>DE</strong> RE<strong>DE</strong>S.<br />
Figura.- 1.14 Conmutadores y Ruteadores en V<strong>LA</strong>N.<br />
Los enfoques más comunes para agrupar lógicamente los usuarios en V<strong>LA</strong>N diferentes son el<br />
filtrado de trama y la identificación de trama (etiquetado de trama). Ambas técnicas examinan la<br />
trama cuando es recibida o enviada por el conmutador. Basadas en el conjunto de normas<br />
definidas por el administrador, estas técnicas determinan dónde la trama se debe enviar, filtrar o<br />
hacer difusión (broadcast). Estos mecanismos de control pueden ser administrados centralmente<br />
(con software de administración de red) y se implementan con facilidad en toda la red [3, 30].<br />
El filtrado de trama examina información específica acerca de cada trama, se desarrolla una tabla<br />
de filtrado para cada conmutador; esto proporciona un alto nivel de control administrativo porque<br />
puede examinar muchos atributos de cada trama. Según la sofisticación del conmutador <strong>LA</strong>N,<br />
puede agrupar los usuarios según las direcciones de control de acceso al medio (MAC) de una<br />
estación o tipo de protocolo de capa de red. El conmutador compara las tramas que filtra con las<br />
entradas de tabla, y toma las medidas apropiadas según las entradas. Al principio, las V<strong>LA</strong>N eran<br />
basadas en filtros y agrupaban a los usuarios según una tabla de filtrado. Este modelo no era muy<br />
escalable, porque cada trama debía referirse a una tabla de filtrado. El etiquetado de trama<br />
asigna de forma exclusiva un identificador de V<strong>LA</strong>N a cada trama. Los identificadores de V<strong>LA</strong>N<br />
son asignados a cada V<strong>LA</strong>N en la configuración de conmutador por el administrador del<br />
conmutador. Esta técnica fue seleccionada por el grupo de estándares del Instituto de Ingeniería<br />
Eléctrica y Electrónica (IEEE) debido a su escalabilidad. El etiquetado de trama está obteniendo<br />
reconocimiento como el mecanismo troncal estándar. En comparación con el etiquetado de trama,<br />
puede ofrecer una solución más escalable para la implementación de las V<strong>LA</strong>N, que se puede<br />
aplicar a nivel de todo el campus. IEEE 802.1q establece que el etiquetado de trama es la manera<br />
de implementar las V<strong>LA</strong>N El etiquetado de trama de V<strong>LA</strong>N es un enfoque que se ha desarrollado<br />
específicamente para las comunicaciones conmutadas. El etiquetado de trama coloca un<br />
identificador único en el encabezado de cada trama a medida que se envía por todo la espina<br />
dorsal (backbone) de la red. El identificador es comprendido y examinado por cada conmutador<br />
antes de enviar cualquier difusión (broadcast) o transmisión a otros conmutadores, ruteadores o<br />
dispositivos de estación final. Cuando la trama sale de la espina dorsal (backbone) de la red, el<br />
conmutador elimina el identificador antes de que la trama se transmita a la estación final objetivo.<br />
La identificación de trama funciona a nivel de Capa de enlace de datos y requiere poco<br />
procesamiento o sobrecarga administrativa.<br />
36
Capítulo I. <strong>LA</strong> GESTION <strong>DE</strong> RE<strong>DE</strong>S.<br />
1.5.5.- IMPLEMENTACIÓN <strong>DE</strong> V<strong>LA</strong>N.<br />
Una V<strong>LA</strong>N forma una red conmutada lógicamente segmentada por funciones, equipos de<br />
proyectos o aplicaciones, sin tener en cuenta la ubicación física de los usuarios. Cada puerto de<br />
conmutador se puede asignar a una V<strong>LA</strong>N. Los puertos asignados a la misma V<strong>LA</strong>N comparten<br />
difusión (broadcast). Los puertos que no pertenecen a esa V<strong>LA</strong>N no comparten esos dominios de<br />
difusión (broadcast). Esto mejora el rendimiento general de la red. Las siguientes secciones<br />
hacen referencia a tres métodos de implementación de V<strong>LA</strong>N que se pueden usar para asignar<br />
un puerto de conmutador a una V<strong>LA</strong>N. Ellos son [3, 4]:<br />
‣ De puerto central<br />
‣ Estática<br />
‣ Dinámica<br />
1.5.5.1.- <strong>LA</strong>S V<strong>LA</strong>N <strong>DE</strong> PUERTO CENTRAL FACILITAN EL<br />
TRABAJO <strong>DE</strong>L ADMINISTRADOR<br />
En las V<strong>LA</strong>N de puerto central, a todos los nodos conectados a puertos en la misma V<strong>LA</strong>N se les<br />
asigna el mismo identificador de V<strong>LA</strong>N. El gráfico (véase figura 1.15) muestra la pertenencia a la<br />
V<strong>LA</strong>N por puerto, lo que facilita el trabajo del administrador y hace que la red sea más eficiente<br />
porque:<br />
‣ Los usuarios se asignan por puerto.<br />
‣ Las V<strong>LA</strong>N son de fácil administración.<br />
‣ Proporciona mayor seguridad entre las V<strong>LA</strong>N.<br />
‣ Los paquetes no se "filtran" a otros dominios.<br />
Figura 1.15.- V<strong>LA</strong>N de puerto central<br />
37
Capítulo I. <strong>LA</strong> GESTION <strong>DE</strong> RE<strong>DE</strong>S.<br />
1.5.5.2.-. V<strong>LA</strong>N ESTÁTICAS.<br />
Las V<strong>LA</strong>N estáticas [1, 3, 23, 29] son puertos en un conmutador que se asignan estáticamente a<br />
una V<strong>LA</strong>N. Estos puertos mantienen sus configuraciones de V<strong>LA</strong>N asignadas hasta que se<br />
cambien. Aunque las V<strong>LA</strong>N estáticas requieren que el administrador haga los cambios, este tipo<br />
de red es segura, de fácil configuración y monitoreo. Las V<strong>LA</strong>N estáticas funcionan bien en las<br />
redes en las que el movimiento se encuentra controlado y administrado (véase figura 1.16).<br />
1.5.5.3.-V<strong>LA</strong>N DINÁMICAS.<br />
Figura 1.16.- V<strong>LA</strong>N estáticas<br />
Las V<strong>LA</strong>N dinámicas [1, 3, 23, 29] son puertos en un conmutador que pueden determinar<br />
automáticamente sus asignaciones de V<strong>LA</strong>N. Las funciones de las V<strong>LA</strong>N dinámicas se basan en<br />
las direcciones MAC, direccionamiento lógico o tipo de protocolo de los paquetes de datos.<br />
Cuando una estación se encuentra inicialmente conectada a un puerto de conmutador no<br />
asignado, el conmutador correspondiente verifica la entrada de direcciones MAC en la base de<br />
datos de administración de la V<strong>LA</strong>N y configura dinámicamente el puerto con la configuración de<br />
V<strong>LA</strong>N correspondiente. Los principales beneficios de este enfoque son una necesidad de<br />
administración menor en el centro de cableado, cuando se agrega o desplaza un usuario y la<br />
notificación centralizada cuando se agrega un usuario no reconocido en la red. Normalmente, se<br />
necesita una mayor cantidad de administración en un primer momento para configurar la base de<br />
datos dentro del software de administración de la V<strong>LA</strong>N y para mantener una base de datos<br />
exacta de todos los usuarios de la red (véase figura 1.17).<br />
Figura 1.17.- V<strong>LA</strong>N dinámicas<br />
38
Capítulo I. <strong>LA</strong> GESTION <strong>DE</strong> RE<strong>DE</strong>S.<br />
RESUMEN <strong>CAPITULO</strong> I. <strong>LA</strong> GESTIÓN <strong>DE</strong> RE<strong>DE</strong>S.<br />
Las empresas se reorganizan continuamente. Como promedio, de 20% a 40% de los empleados<br />
se trasladan físicamente todos los años. Esto hace que sea necesario implementar una serie de<br />
adiciones, desplazamientos y cambios que constituyen uno de los más grandes dolores de<br />
cabeza para el administrador de la red, y también uno de los más grandes gastos relacionados<br />
con la administración de redes. Muchos desplazamientos hacen que sea necesario rehacer el<br />
cableado, y casi todos requieren que se cambien las direcciones de las estaciones y se<br />
reconfiguren concentyradores y ruteador.<br />
Las V<strong>LA</strong>N ofrecen un mecanismo efectivo para controlar estos cambios y reducir en gran parte el<br />
costo asociado con las reconfiguraciones de concentrador y ruteadores. Los usuarios en una<br />
V<strong>LA</strong>N pueden compartir el mismo espacio de dirección de red (es decir, la subred IP), sin importar<br />
su ubicación.<br />
Cuando los usuarios en una V<strong>LA</strong>N se trasladan de una ubicación a otra, siempre que<br />
permanezcan en la misma V<strong>LA</strong>N y se conecten a un puerto de conmutador, sus direcciones de<br />
red no cambian. Un cambio de ubicación puede ser tan sencillo como conectar un usuario a un<br />
puerto en un conmutador adaptado para V<strong>LA</strong>N y configurar el puerto del conmutador a esa<br />
V<strong>LA</strong>N.<br />
Las V<strong>LA</strong>N representan un importante progreso con respecto a las técnicas basadas en <strong>LA</strong>N que<br />
se usan en los centros del cableado, porque necesitan menos cambios en el cableado,<br />
configuración y depuración. La configuración del router queda intacta. Cuando simplemente se<br />
debe desplazar a un usuario de una ubicación a otra, esto no crea modificaciones en la<br />
configuración del router, si el usuario permanece en la misma V<strong>LA</strong>N.<br />
El tráfico de difusión (broadcast) [1, 3, 23, 29] se produce en todas las redes. La frecuencia de<br />
difusión (broadcast) depende de los tipos de aplicaciones, los tipos de servidores, la cantidad de<br />
segmentación lógica y la manera en que se usan estos recursos de red. Aunque las aplicaciones<br />
se han perfeccionado durante los últimos años para reducir la cantidad de difusión (broadcast)<br />
que envían, se están desarrollando nuevas aplicaciones multimediales que producen gran<br />
cantidad de difusión (broadcast) y multidifusión (multicast).<br />
Es necesario tomar medidas preventivas para evitar los problemas relacionados con la difusión<br />
(broadcast). Una de las medidas más efectivas es segmentar de manera adecuada la red, con<br />
corta fuegos (firewalls) de protección que, dentro de lo posible, eviten que los problemas de un<br />
segmento dañen otras partes de la red. Así, aunque un segmento puede presentar condiciones<br />
de difusión (broadcast) excesivas, el resto de la red se encuentra protegido con un firewall,<br />
normalmente proporcionado por un router. La segmentación con corta fuegos (firewalls) brinda<br />
confiabilidad y reduce al mínimo la sobrecarga de tráfico de difusión (broadcast), permitiendo un<br />
mayor rendimiento del tráfico de aplicaciones.<br />
Cuando no se colocan ruteador entre los conmutador, los difusión (broadcast) se envían a cada<br />
puerto del conmutador. Esto normalmente se denomina red plana, donde hay un solo dominio de<br />
difusión (broadcast) para toda la red. La ventaja de una red plana es que proporciona baja<br />
latencia y alto rendimiento, y es fácil de administrar. La desventaja es que aumenta la<br />
vulnerabilidad al tráfico de difusión (broadcast) en todos los conmutadores, puertos, enlaces de<br />
espina dorsal (backbone) y usuarios.<br />
Las V<strong>LA</strong>N son un mecanismo efectivo para extender los corta fuegos (firewalls) desde los<br />
ruteador a la estructura de los conmutador y proteger la red contra problemas de difusión<br />
39
Capítulo I. <strong>LA</strong> GESTION <strong>DE</strong> RE<strong>DE</strong>S.<br />
(broadcast) potencialmente peligrosos. Además, las V<strong>LA</strong>N conservan todas las ventajas de<br />
rendimiento de la conmutación.<br />
Se pueden crear corta fuegos (firewalls) asignando puertos de conmutador o usuarios a grupos<br />
de V<strong>LA</strong>N específicos dentro de conmutador individuales y a través de múltiples conmutador<br />
conectados. El tráfico de difusión (broadcast) dentro de una V<strong>LA</strong>N no se transmite fuera de la<br />
V<strong>LA</strong>N. Por el contrario, los puertos adyacentes no reciben ningún tráfico de difusión (broadcast)<br />
generado desde otras V<strong>LA</strong>N. Este tipo de configuración reduce sustancialmente el tráfico total de<br />
difusión (broadcast), libera el ancho de banda para el tráfico real de usuarios, y reduce la<br />
vulnerabilidad general de la red a las tormentas de difusión (broadcast).<br />
Cuanto menor sea el grupo de V<strong>LA</strong>N, menor será la cantidad de usuarios afectados por la<br />
actividad de tráfico de difusión (broadcast) dentro del grupo de V<strong>LA</strong>N. También se pueden asignar<br />
V<strong>LA</strong>N basadas en el tipo de aplicación y la cantidad de difusión (broadcast) de aplicaciones. Se<br />
pueden colocar usuarios que comparten una aplicación que produce difusión (broadcast) en el<br />
mismo grupo de V<strong>LA</strong>N y distribuir la aplicación a través del campus.<br />
El uso de las <strong>LA</strong>N ha aumentado en forma notable durante los últimos años. Como resultado, en<br />
las <strong>LA</strong>N a menudo circulan datos confidenciales y fundamentales para el trabajo. Los datos<br />
confidenciales requieren seguridad implementada a través de limitación del acceso. Uno de los<br />
problemas de las <strong>LA</strong>N compartidas es que son relativamente fáciles de penetrar. Un intruso<br />
puede conectarse a un puerto activo y tener acceso a todo el tráfico dentro de un segmento.<br />
Cuanto mayor sea el grupo, mayores serán las posibilidades de acceso. Una técnica de<br />
administración económica y sencilla para aumentar la seguridad es segmentar la red en múltiples<br />
grupos de difusión (broadcast) que permitan que el administrador de red:<br />
‣ Limite la cantidad de usuarios en un grupo de V<strong>LA</strong>N<br />
‣ Evite que otro usuario se conecte sin recibir antes la aprobación de la aplicación de<br />
administración de red de la V<strong>LA</strong>N<br />
‣ Configure todos los puertos no utilizados en una V<strong>LA</strong>N de bajo servicio por defecto<br />
La implementación de este tipo de segmentación es relativamente simple. Los puertos de<br />
conmutador se agrupan según el tipo de aplicaciones y privilegios de acceso. Las aplicaciones y<br />
recursos de acceso restringido se ubican normalmente en un grupo seguro de V<strong>LA</strong>N. En la V<strong>LA</strong>N<br />
segura, el conmutador limita el acceso al grupo. Las restricciones se pueden implementar según<br />
las direcciones de estación, tipos de aplicación o tipos de protocolo.<br />
Figura 1.18.- Seguridad de V<strong>LA</strong>N.<br />
40